瑞星緊急發放免費殺毒軟件查殺“磁碟機”

　　3月21日，瑞星公司發布紅色(一級)安全警報。近期，一個名為“磁碟機(Worm.Win32.Diskgen)”病毒正在網上肆虐，其危險程度正在加強。該病毒會試圖關閉各種殺毒軟件，並自動下載幾十種盜號木馬病毒，給網民帶來極大的損失。瑞星安全專家表示，該病毒的查殺難度超過“熊貓燒香”，截至3月20日，被“磁碟機”感染的電腦已達數十萬台。

　　根據監測和技術分析，瑞星安全專家認為，“磁碟機”病毒是一個具有明確經濟目的的病毒犯罪團伙所為，他們借鑒了已經被逮捕的“熊貓燒香”病毒團伙的犯罪經驗，非常狡猾，在病毒制造、傳播和躲避偵查等方面都下足了功夫。瑞星公司已將掌握的相關資料上報給公安部門。

　　針對目前嚴峻的安全形勢，瑞星公司宣布，將向所有受害網民派發瑞星殺毒軟件2008版，用戶可以登陸瑞星官方網站(www.rising.com.cn)下載，並免費使用一個月。

　　作為國內唯一具備“智能主動防御”功能的殺毒軟件，“瑞星殺毒軟件2008版”可以有效對抗該病毒的攻擊，針對此病毒的攻擊行為進行了重點防御，使病毒無法攻擊得手;當病毒運行時，瑞星“智能主動防御”所獨有的惡意行為分析技術，還可以在系統底層攔截此病毒的惡意行為，使其無法進行任何破壞，是目前防御“磁碟機”病毒的最有效工具。

　　瑞星反病毒專家表示，“磁碟機”病毒來勢凶猛，染毒症狀比較容易辨認：殺毒軟件被關閉，屏幕右下方的監控狀態圖標改變;中毒計算機無法進入安全模式，進入安全模式時會藍屏;系統文件被強行設置為隱藏狀態。如果出現上述現象，則您的電腦可能已被“磁碟機”病毒感染，請下載安裝瑞星殺毒軟件2008(免費一個月，www.rising.com.cn)，對中毒電腦進行徹底查殺。

　　瑞星殺毒軟件用戶升級到最新版本(20.36.32版以上)，即可全面防御、查殺該病毒。

　　五招分辨磁碟機病毒：

　　1、某些殺毒軟件和安全軟件無法運行，被強行關閉，或者打開後有被“分屍”的現象

　　工具軟件Sreng被病毒破壞後

　　2、安全模式被破壞。用戶試圖進入安全模式時，顯示的是藍屏，這是由於病毒刪除了與安全模式相關的注冊表鍵導致。

　　3、無法正常顯示隱藏文件，且工具-文件夾選項下的“隱藏受保護的操作系統文件”一項被破壞。

　　4、打開任務管理器，會發現兩個lsass.exe和smss.exe進程

　　5、使用Winrar可以發現如下病毒文件。

以下是引用片段：
　　%systemroot%system32comlsass.exe
　　%systemroot%system32comsmss.exe
　　%systemroot%system32comnetcfg.dll
　　%systemroot%system32comnetcfg.000

　　“磁碟機”病毒技術分析概要

　　該病毒使用了rootkits技術，可以從系統底層卸載殺毒軟件的鉤子，同時會釋放自己的驅動，這樣就會使殺毒軟件的監控失效，無法查殺病毒。同時，病毒還會頻繁查找殺毒軟件的程序窗口，強行將其關閉。那些沒有使用智能主動防御技術的殺毒軟件，很容易被此病毒破壞無法運行。

　　病毒運行後，會在C盤根目錄下釋放病毒驅動NetApi000.sys，該驅動用來恢復SSDT，把殺毒軟件掛的鉤子全部卸掉。這樣，殺毒軟件的很多功能將無法使用，如文件監控、注冊表監控等。同時，病毒會在系統裡釋放smss.exe等病毒文件，實現進程保護，使殺毒軟件很難徹底查殺。

　　除了關閉殺毒軟件之外，磁碟機病毒還會從http://**.c0mo.com、http://**.k0102.com等網站下載數十個木馬盜號病毒，試圖竊取用戶的網游賬號裝備、網銀密碼等私密信息。